Již několika desítkám zákazníků internetového obchodu s elektronikou Alza.cz přišla faktura za zboží, které si ani neobjednali, ani nevyzvedli, ale za které nevědomky svou platební kartou zaplatili.
Zlodějům se totiž podle našich informací podařilo získat přístup k uživatelským účtům internetového obchodu, vybrat si ty, ve kterých byla přednastavená platební karta a jejich prostřednictvím si objednat jakékoli zboží. K úhradě zboží pak došlo právě z přednastavené platební karty zákazníka.
Pro jeho vyzvednutí zloději neváhali v účtech okrádaných zákazníků změnit telefonní číslo určené pro potvrzení objednávky.
K doručení pak zloději používali expresní doručení do takzvaných Alzaboxů. Z těch lze totiž zboží vyzvednout kdykoli a zcela anonymně, stačí pouze číselný kód, který je formou sms zprávy po provedení platby zaslán na číslo telefonu nastavené v zákaznickém účtu.
Okradený zákazník Alzy tak na krádež přijde až ve chvíli, kdy mu přijde faktura a výpis z účtu.
Zloději zřejmě tento způsob krádeží praktikují již nějakou dobu, jen v Praze již škoda na odcizeném zboží činí podle našich informací téměř jeden milion korun a první případy se začínají objevovat i v Plzni.
Policie nám potvrdila, že kriminální policie se tímto případem intenzivně zabývá a uvedla, že vzhledem k probíhajícímu vyšetřovaní není možné podávat další informace.
Na naši žádost se k případu vyjádřil již i zástupce společnosti Alza.cz: "Interní systémy společnosti zaznamenaly zneužití účtů několika zákazníků neznámým uživatelem, a proto Alza.cz podala trestní oznámení na neznámého pachatele, Policie ČR případ intenzivně řeší.
K úniku přihlašovacích údajů v žádném případě na straně Alzy nedošlo. Útočník získal k uživatelským účtům přístup mimo Alzu, pod jejich identitou následně objednal zboží.
Všechny zákazníky, u kterých byla tato situaci detekována, informovala Alza.cz okamžitě telefonicky a důrazně doporučila nastavení dostatečně bezpečného hesla, které nikde jinde nevyužívá.
Dále firma učinila všechny potřebné kroky, aby zajistila vrácení platby zákazníkovi obratem zpět na účet. Po dobu vyšetřování se blíže k události není možné vyjadřovat."
Zástupce Alzy.cz nám také uvedl, že:
"Dle zásad bezpečnosti Alza.cz neukládá hesla uživatelů v jiné než zašifrované podobě, což brání jejich prolomení, stejně jako přímo nedisponuje čísly kreditních karet (ta jsou uložena pouze na straně banky).
V rámci spolupráce s policií byly některé objednávky po dohodě s vyšetřovateli stornovány až po dopadení jednoho z pachatelů.
Veškeré finanční prostředky byly následně neprodleně vráceny na konta zákazníků."
Dle těchto vyjádření tedy nejde o bezpečnostní problém přímo v systému Alzy, ale o kompromitaci účtů několika jednotlivých zákazníků. Možných cest je několik:
- prolomené slabé heslo účtu zákazníka na Alza.cz,
- podvodné vylákání přístupových údajů přímo od uživatelů, tzv. phishing,
- krádež přístupových údajů z jiné služby, kdy poškození zákazníci měli stejné heslo na Alze,
- prolomené heslo k e-mailu, s přístupem k němu lze zjistit nebo změnit hesla na mnoha místech, včetně Alzy…
O zásadách bezpečných hesel jsme psali několikrát. Pokud máte v účtu na e-shopu uloženou platební kartu, je důležité na zabezpečení opravdu myslet a tam kde to obchod umožňuje, pojistit přihlášení ověřením např. SMS zprávou. V případě Alzy stačí na stránce „Můj účet“ zaškrtnout „Dvoufázové ověření“ a opsat kód z SMS.
V krátké době jde již o druhý útok na Alzu, i když metoda prvního útoku na plzeňskou prodejnu byla asi o půl tisíciletí starší:
Útočník z Alzy dopaden! Přinášíme podrobnou zprávu Policie ČR
Za recidivistou zůstaly vydrancované firmy včetně plzeňské Alzy
